Khái niệm về Firewall

dụng nên không thực hiện được điều khiển quyền truy nhập. Loại thế hệ firewall thứ hai là các Proxy ứng dụng thì không thể cung cấp sự hỗ trợ kịp thời khi có các dịch vụ mới.

Theo dõi truy nhập :

Để tăng cường quản lý truy nhập, firewall có thể theo dõi, hiển thị, lập báo cáo và cảnh báo về những lưu thông mạng mà nó điều khiển. Dựa trên tính năng này, người quản trị hệ thống firewall có thể xem xét tất cả các kết nối hiện đang kích hoạt theo thời gian thực và có thể ngắt hoặc chặn các kết nối đó.

Ghi lại nhật ký làm việc :

Các firewall có thể tính toán về các thông tin truy nhập và thông tin của mọi kết nối một cách chi tiết bao gồm : Người dùng, loại dịch vụ, thời gian bắt đầu kết nối, đích đến của kết nối, quá trình kết nối, các hành động thực hiện khi có các kết nối đó, …Đồng thời lập báo cáo phân tích chi tiết về những sự kiện này.

Cảnh báo an ninh :

Các firewall có thể đưa ra nhiều tùy chọn để cảnh báo như : Dùng email để thông báo, sử dụng giao thức SNMP để gửi các cảnh báo an ninh tới các hệ thống quản trị mạng

Ngăn chặn các kiểu tấn công thông thường

Một số firewall có thể chống được các kiểu tấn công như : Ipspoofing (giả mạo địa chỉ IP)…

3.1.2. Các loại firewall

3.1.2.1. Firewall lọc gói tin (Packet Filtering Firewall)

Firewall lọc gói tin thực hiện kiểm tra mỗi gói tin IP để xem nó có phù hợp với một trong các quy tắc đã được thiết lập trước, quyết định có cho phép gói tin đó đi qua firewall hay không. Các quy tắc này nhận biết liên lạc được phép dựa vào thông tin chứa trong các tiêu đề lớp mạng, lớp giao vận của gói tin và hướng được ghi trong phần tiêu đề của gói tin (từ trong mạng ra ngoài và ngược lại).

Các bộ lọc gói thường cho phép thao tác (chấp nhận hoặc từ chối) việc truyền dữ liệu dựa trên các điều khiển sau :

Giao tiếp vật lý mà gói tin đến từ đó.

Địa chỉ IP nguồn của gói tin Địa chỉ IP đích của gói tin

Kiểu giao thức tầng vận chuyển (TCP, UDP, ICMP).

Cổng nguồn của tầng vận chuyển.

Cổng đích của tầng vận chuyển.

Kỹ thuật lọc gói thường không hiểu các giao thức của tầng ứng dụng được sử dụng trong các gói tin. Thay vào đó, chúng làm việc bằng cách áp dụng một tập các quy tắc được duy trì đối với thông tin về TCP/IP. Vì loại firewall này không kiểm tra dữ liệu tầng ứng dụng của gói tin và không theo dõi trạng thái kết nối nên giải pháp này là kém an toàn nhất trong các công nghệ firewall.

Nó cho phép truy cập thông qua firewall với số lượng kiểm tra rất nhỏ. Tất nhiên, vì nó xử lý ít hơn so với kỹ thuật firewall khác nên nó là công nghệ firewall nhanh nhất hiện có và thường được thực hiện trong các giải pháp phần cứng, chẳng hạn như các bộ định tuyến IP.

Các firewall lọc gói thường thay địa chỉ cho các gói tin để luồng thông tin đi ra có địa chỉ nguồn khác với địa chỉ của máy trạm nội bộ. Quá trình ghi địa chỉ mới cho các gói tin được gọi là chuyển dịch địa chỉ mạng (Nework Address Translation - NAT). Sự chuyển dịch này sẽ che giấu các địa chỉ bên trong mạng cần bảo vệ

3.1.2.2. Firewall mức kết nối (Circuit Level Firewall)

Firewall mức kết nối xác nhận tính hợp lệ của một gói tin là yêu cầu kết nối hay gói tin dữ liệu thuộc về một kết nối (hoặc một kết nối ảo) giữa hai tầng giao vận tương đương.

Để phê chuẩn một phiên làm việc, firewall mức kết nối kiểm tra việc thiết lập kết nối để đảm bảo rằng kết nối này tạo ra một thủ tục bắt tay hợp lệ cho

giao thức tầng giao vận đang được sử dụng (thường là TCP). Ngoài ra các gói tin dữ liệu sẽ không được gửi cho đến khi thủ tục bắt tay được hoàn thành. Loại firewall này duy trì một bảng thông tin của các kết nối hợp lệ (bao gồm trạng thái của phiên làm việc đầy đủ và thông tin về thứ tự gói tin) và cho phép các gói tin chứa dữ liệu đi qua khi thông tin của gói tin này phù hợp với một mục trong bảng kết nối ảo. Mỗi lần một kết nối kết thúc thì mục chứa thông tin về kết nối này trong bảng kết nối ảo sẽ bị xóa và kết nối ảo giữa hai tầng giao vận tương đương cũng bị đóng.

Khi một kết nối được thiết lập, firewall mức kết nối thường lưu giữ các thông tin về kết nối sau :

Nhận dạng phiên làm việc duy nhất đối với kết nối này, nó được sử dụng cho các mục đích theo dõi, giám sát.

Trạng thái của kết nối : Đang bắt tay, đã thiết lập hay kết thúc.

Thông tin thứ tự các gói tin.

Địa chỉ IP nguồn.

Địa chỉ IP đích.

Giao tiếp vật lý mà gói tin đến từ đó.

Giao tiếp vật lý mà gói tin sẽ qua đó để đi ra.

Sử dụng các thông tin này, firewall mức kết nối kiểm tra thông tin trong phần tiêu đề của mỗi gói tin để xác định xem liệu máy tính truyền có được phép gửi dữ liệu tới máy tính nhận hay không và máy tính nhận có quyền nhận dữ liệu đó hay không.

Các firewall mức kết nối cho phép truy nhập qua firewall với một lượng kiểm tra tối thiểu bằng cách xây dựng một số kiểu trạng thái kết nối nhất định.

Chỉ những gói tin thuộc về một kết nối đã có trong bảng mới được đi qua firewall. Khi nhận được một gói tin thiết lập kết nối, firewall mức kết nối kiểm tra các cơ sở luật của nó để xác định xem kết nối đó có được phép hay không.

Nếu kết nối này là được phép, tất cả các gói tin kết hợp với kết nối này được

định tuyến thông qua firewall như đã được xác định trong bảng định tuyến của firewall mà không cần thêm các biện pháp kiểm tra an ninh khác.

Các firewall mức kết nối có thể thực hiện một số biện pháp kiểm tra thêm để đảm bảo rằng gói tin không bị giả mạo và dữ liệu chứa trong tiêu đề của giao thức tầng giao vận tuân theo định nghĩa của giao thức đó. Nhờ đó, các firewall này có thể phát hiện ra một số kiểu dữ liệu của gói tin đã bị sửa đổi.

Các firewall mức kết nối thường để địa chỉ mới cho các gói tin lớp mạng để luồng thông tin đi ra sẽ có địa chỉ nguồn là firewall mà không mang địa chỉ của một máy trạm nội bộ. Quá trình này được gọi là chuyển dịch địa chỉ, và bởi vì các firewall mức kết nối duy trì thông tin về từng phiên làm việc nên chúng có thể chuyển trả lại các gói tin đáp ứng từ mạng ngoài tới máy trạm nội bộ tương ứng một cách chính xác.

3.1.2.3. Firewall mức ứng dụng (Application Level Firewall)

Firewall mức ứng dụng kiểm tra tính hợp lệ của các gói dữ liệu tại tầng ứng dụng trước khi cho phép thực hiện một kết nối. Nó kiểm tra tất cả các gói tin tại tầng ứng dụng và duy trì thông tin về trạng thái kết nối đầy đủ, thông tin về thứ tự. Ngoài ra, một firewall mức ứng dụng còn có thể phê chuẩn các mục bảo vệ an ninh khác mà nó chỉ xuất hiện trong dữ liệu tầng ứng dụng, chẳng hạn như mật khẩu người dùng và các yêu cầu dịch vụ.

Hầu hết các firewall mức ứng dụng có phần mềm ứng dụng chuyên dụng và các dịch vụ ủy quyền. Các dịch vụ ủy quyền là các chương trình có mục đích riêng quản lý luồng thông tin đi qua một firewall đối với một dịch vụ cụ thể, chẳng hạn như : HTTP hoặc RTP. Các dịch vụ ủy quyền là riêng biệt đối với giao thức mà chúng được thiết kế để gửi chuyển tiếp, và chúng có thể cung cấp các điểu khiển truy nhập thêm, cung cấp các khả năng kiểm tra chi tiết kĩ lưỡng đối với các dữ liệu hợp lệ, tạo ra các hồ sơ thông kê về lượng thông tin mà chúng đã chuyển.

Mỗi một proxy (ủy quyền) ứng dụng yêu cầu hai thành phần : Proxy server và proxy client. Mỗi proxy server hoạt động như một server đầu cuối cho

tất cả các yêu cầu kết nối xuất phát từ một client thực trong mạng nội bộ. Điều đó có nghĩa là : Tất cả các trao đổi thông tin giữa những người dùng của mạng nội bộ và mạng ngoài đều phải đi qua proxy server mà không cho phép những người dùng này trao đổi thông tin trực tiếp với các server khác bên ngoài mạng.

Một người dùng nội bộ gửi một yêu cầu tới proxy server để kết nối tới một dịch vụ bên ngoài, chẳng hạn như : FTP hoặc Telnet. Proxy server sẽ kiểm tra các yêu cầu này và đưa ra quyết định chấp nhận hoặc từ chối yêu cầu dựa trên một bộ quy tắc được sử dụng cho từng dịch vụ mạng. Các proxy server hiểu giao thức của dịch vụ mà chúng đang kiểm tra, vì vậy chúng chỉ cho phép các gói tin tuân theo các định nghĩa giao thức này đi qua. Chúng cũng cho phép đưa thêm một số tiện ích như : Ghi lại thông kê chi tiết về thông tin phiên làm việc, xác thực người dùng và các lưu trữ tạm thời trên proxy.

Một proxy client là một phần cứng của ứng dụng người dùng mà nó trao đổi với server thực hiện trên mạng ngoài nhân danh các client thực. khi một client yêu cầu một dịch vụ, proxy server kiểm tra yêu cầu đó dựa trên các quy định trong chính sách định nghĩa cho proxy đó và xác định xem có chấp thuận hay không. Nếu nó chấp thuận yêu cầu này, proxy server sẽ gửi yêu cầu này tới proxy client. Sau đó, proxy client sẽ nhân danh client này liên hệ với server thực và tiến hành chuyển tiếp các yêu cầu từ proxy server tới server thực và chuyển tiếp các đáp ứng từ server thực về proxy server.

Một dịch vụ ủy quyền đặt một cách trong suốt giữa người dùng trong mạng nội bộ và một dịch vụ thực trên mạng ngoài. Đó là vì người dùng vẫn xử lý như chính dịch vụ thực xự. Ở phía dịch vụ thực, nó cũng vẫn xử lý như trực tiếp với một người dùng trên proxy server (thay cho máy trạm thật của người dùng này).

Các dịch vụ uỷ quyền được thực hiện trên tầng cao nhất của mô hình OSI và chỉ hoạt động trong không gian ứng dụng của hệ điều hành. Bởi vậy, mỗi gói tin phải đi qua các giao thức mức dưới trong nhân trước khi đi đến không gian ứng dụng để các proxy kiểm tra kỹ lưỡng phần tiêu để và dữ liệu gói tin. Sau

đó, các gói tin này phải đi ngược trở lại đến nhân và được gửi đi. Bởi vì mỗi gói tin trong một phiên làm việc đều phải trải qua tiến trình này nên các dịch vụ ủy quyền có tốc độ rất chậm.

3.2. Một số biện pháp, thủ thuật phòng chống :